[LACNIC/Politicas] opiniones de la propuesta LAC-2018-5 (abuse-c)
JORDI PALET MARTINEZ
jordi.palet at consulintel.es
Fri Oct 5 15:33:06 BRT 2018
Hola Ricardo,
Mil gracias por los comentarios.
Contesto entre líneas.
Saludos,
Jordi
-----Mensaje original-----
De: Politicas <politicas-bounces at lacnic.net> en nombre de Ricardo Patara <patara at registro.br>
Responder a: Lista para discusion de politicas de la comunidad de LACNIC <politicas at lacnic.net>
Fecha: martes, 2 de octubre de 2018, 20:25
Para: <politicas at lacnic.net>
Asunto: Re: [LACNIC/Politicas] opiniones de la propuesta LAC-2018-5 (abuse-c)
Hola Jordi,
>
> Creo que entiendo tu idea y coincide con lo que hemos hablado ayer, lo único
> en lo que no estoy de acuerdo es en retirar el punto 12.3, porque si no
> indicamos cual es el objetivo de la validación, entonces hay que indicar el
> procedimiento, y es mejor que el procedimiento lo defina LACNIC.
el problema que veo es que al definir el "objetivo" de validación estas también
indicando "cómo" hacer, o por lo menos, obligando a un camino para ejecución.
por ejemplo:
1) Proceso simple que garantice su funcionalidad y permita a los
"helpdesk" que atienden los reportes de abuso, verificar que las
peticiones de validación efectivamente provienen de LACNIC y no de
terceras fuentes (que pudieran implicar riesgos de seguridad), evitando,
por ejemplo, una única URL "directa" para la validación.
comprendo el objetivo, pero agregás mucho detalle a eso y incluso que se evite
una url única, etc
eso detalle no tiene que estar en las políticas. debe ser una preocupación de
lacnic en sus procedimientos.
Esto lo agregue porque en la discusión en RIPE, se observó, que muchos helpdesk a veces pueden tener prohibido hacer click en un enlace. Poniendo este objetivo, doy al libertad al staff de considerar opciones que un helpdesk no pueda cumplir.
Si te fijas, esta dando "opciones", no limitándolas.
2) Impedir un proceso automatizado.
imagino que aquí te referís a impedir que el contacto de abuso trate las quejas
de forma automatizada.
pero tu mismo indicaste en el foro que estaría okay que en un primer momento eso
pudiera pasar.
ahora vamos imaginar que es una persona que conteste. eso tampoco le daría
garantías que la queja o el abuso será tratado. entonces creo que no tiene
necesidad.
Puedo aclarar este texto. La idea es que puede ser automatizado inicialmente (eso depende de cada ISP). Es habitual que haya un proceso previo de clasificación de correos, o incluso un mensaje inicial que diga, por ejemplo "si ud. no ha enviado los logs, hágalo ahora, con este número de ticket, etc.". De lo que se trata es que no sea SOLO automatizado. Estoy trabajando en una nueva versión que seguramente envíe pronto, para que no haya dudas.
Atención: En ningún momento estoy diciendo en la propuesta que es obligatorio tratar el abuso. La propuesta SOLO busca garantizar que en algún momento, hay un humano detrás del buzón de abusos.
3) Confirmar que quien valida asegura conocer el procedimiento, la
política, que monitoriza regularmente el "abuse-mailbox", se toman
medidas y se responde al reporte de abuso.
no tiene que estar en la política
puede estar en los términos del contrato de LACNIC con sus "miembros"
Si queremos que haya un humano en algún momento, es lógico que ese humano tenga que confirmar que "sabe" a lo que esta contestando. Sirve de recordatorio para que regularmente sepa que se verifica ese buzón, que si se va un empleado tiene que haber un procedimiento para que lo retome otro, etc., etc. No entiendo porque dices que esto tiene que estar en el contrato de membresía, las políticas no modifican ese contrato.
4) Plazo de validación no superior a 2 días hábiles.
5) Si no se valida correctamente, escalado con el LIR y un nuevo plazo,
no superior a 3 días hábiles.
como te comenté, estoy en contra estos plazos.
mi sugerencia es que lacnic defina cual el criterio, en sus procedimientos, para
decidir si un contacto fue validado o no
No se si leíste mi email en el que sugería 15/15 días y 2 veces por año. Estarías de acuerdo con eso?
Alternativamente, crees que es razonable dejar ambos plazos abiertos y que LACNIC lo decida? Siempre discutimos que debemos decirle con mas claridad a LACNIC los detalles para que no haya dudas, y no se si es lógico dejar ambos plazos totalmente abiertos a discreción total del staff (indicando "n/m" días y "x" veces por año a discreción del staff ...).
Recordando que en RIPE simplemente se le indica que deben validar una vez por año.
Y en ARIN dan un poco más detalle pero con una validación bastante sencilla:
"3.6.4 Procedure for Verification
An annual email notification will be sent to each of the Points of Contact
outlined in section 3.6.2 on an annual basis. Each Point of Contact will have up
to sixty (60) days from the date of the notification in which to respond with an
affirmative that their Whois contact information is correct and complete or to
submit new data to correct and complete it. If after careful analysis, ARIN
staff deems a POC to be completely and permanently abandoned or otherwise
illegitimate, the POC record shall be marked invalid in Whois."
Considerando todo eso, mi recomendación es para una propuesta de política más
sencilla con énfasis en los puntos principales: deben existir dichos contactos,
habrá validación en períodos determinados (12 meses?) y los contactos no
validados serán marcados como tales.
Y en APNIC 15/15 días y 2 veces por año, además de cuando considere el staff ...
Estoy de acuerdo, como he indicado en mi anterior email, en proceder al bloqueo de la cuenta cuando este inválida, hasta que se actualiza el contacto, como hemos modificado también en APNIC.
saludos
> Saludos, Jordi
>
>
>
> -----Mensaje original----- De: Politicas <politicas-bounces at lacnic.net> en
> nombre de Ricardo Patara <patara at registro.br> Organización: NIC.BR Responder
> a: Lista para discusion de politicas de la comunidad de LACNIC
> <politicas at lacnic.net> Fecha: miércoles, 26 de septiembre de 2018, 18:41
> Para: <politicas at lacnic.net> Asunto: Re: [LACNIC/Politicas] opiniones de la
> propuesta LAC-2018-5 (abuse-c)
>
> Hola Jordi, que tal? Gracias por la revisión y comprensión de los puntos
> comentados en el foro.
>
> como dije, estoy a favor de la idea general de que los contactos de abuso
> deben existir y también serien válidos.
>
> pero no estoy de acuerdo con los plazos de verificación y validación que
> propones. ni tampoco de que se indique en la política como hacer la
> verificación.
>
> Acerca de las consultas que hiciste en ese email y que está mirando hacia los
> plazos y el resultado de una validación no exitosa:
>
>
>> Así que la pregunta es sencilla. Consideraría la comunidad que sería
>> interesante en una nueva versión aplicar los siguientes plazos:
>
>> 1) 15 días/15 días, en lugar de 2/3 días
>
> estoy de acuerdo, si bien que prefiero que eso esté bajo los criterios de un
> procedimiento operacional a ser definido por lacnic (tal cual es en ripe y
> arin)
>
>> 2) 2 Verificaciones anuales en lugar de 4
>
> prefiero que sea una verificación anual (como en ripe y arin)
>
>> y 3) Agregar de forma explicita el bloqueo de miLACNIC para realizar otros
>> cambios mientras no este actualizado el contacto abuse-c, antes de proceder
>> a otros métodos mas estrictos por el incumplimiento contractual.
>
> estoy de acuerdo que si el contacto no termina con validación exitosa se tome
> alguna acción, y soy a favor que sea bloquear el acceso al portal.
>
> se puede también hacer como en arin que es no le permitir emisión de
> cobranzas.
>
> y tal cual es en arin y en la política recién aprobada en apnic, que no se
> incluya que se va a recuperar el bloque por eso solamente. pero eso puede ser
> una consecuencia de no poder hacer el pago de su tarifa anual y por eso entra
> en proceso de recuperación.
>
>
> Y para finalizar, mi propuesta es que se saque del texto:
>
> 12.3. Objetivos de la validación del "abuse-c"/"abuse-mailbox"
>
>
> saludos
>
>> Por supuesto, que este email sirva también para re-debatir de forma
>> genérica sobre la propuesta en todos sus aspectos, ya que, en definitiva,
>> el motivo por el que se presento ayer la misma versión que en el foro
>> anterior, fue por la falta de comentarios significativos para buscar una
>> versión que se acerque mas a un posible consenso.
>>
>> Mil gracias a todos y espero que haya *mucho* *mucho* *mucho* debate!
>>
>> Saludos, Jordi
>>
>>
>>
>>
>>
>> ********************************************** IPv4 is over Are you ready
>> for the new Internet ? http://www.consulintel.es The IPv6 Company
>>
>> This electronic message contains information which may be privileged or
>> confidential. The information is intended to be for the exclusive use of
>> the individual(s) named above and further non-explicilty authorized
>> disclosure, copying, distribution or use of the contents of this
>> information, even if partially, including attached files, is strictly
>> prohibited and will be considered a criminal offense. If you are not the
>> intended recipient be aware that any disclosure, copying, distribution or
>> use of the contents of this information, even if partially, including
>> attached files, is strictly prohibited, will be considered a criminal
>> offense, so you must reply to the original sender to inform about this
>> communication and delete it.
>>
>>
>>
>> _______________________________________________ Politicas mailing list
>> Politicas at lacnic.net https://mail.lacnic.net/mailman/listinfo/politicas
>>
>
> -- Ricardo Patara _______________________________________________ Politicas
> mailing list Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas
>
>
>
>
> ********************************************** IPv4 is over Are you ready for
> the new Internet ? http://www.consulintel.es The IPv6 Company
>
> This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of the
> individual(s) named above and further non-explicilty authorized disclosure,
> copying, distribution or use of the contents of this information, even if
> partially, including attached files, is strictly prohibited and will be
> considered a criminal offense. If you are not the intended recipient be aware
> that any disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited, will be considered a criminal offense, so you must reply to the
> original sender to inform about this communication and delete it.
>
>
>
> _______________________________________________ Politicas mailing list
> Politicas at lacnic.net https://mail.lacnic.net/mailman/listinfo/politicas
>
_______________________________________________
Politicas mailing list
Politicas at lacnic.net
https://mail.lacnic.net/mailman/listinfo/politicas
**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.consulintel.es
The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
More information about the Politicas
mailing list